Wenn ich es richtig verstehe, müsste es so funktionieren und sicher sein:

mysql_real_escape_string(htmlentities('Daten aus dem Formular'));